rahatislamanik-spec/Enterprise-IT-Security-Operations-Toolkit

# 企业IT安全运营工具包 使用PowerShell、Microsoft Graph、Entra ID、Intune、Microsoft Defender和Exchange Online构建的Microsoft 365安全运营实验室和治理工具包。 **30+ PowerShell脚本。8个运营阶段。执行实验室证据。Microsoft 365安全运营模拟。** 🌐 **[查看实时作品集网站](https://rahatislamanik-spec.github.io/Enterprise-IT-Security-Operations-Toolkit/)** ## 作品集案例摘要 | STAR元素 | 摘要 | |---|---| | 情况 | Microsoft 365管理员经常需要跨多个门户审查租户健康、身份暴露、端点姿态、邮件流安全、应用权限和调查证据。 | | 任务 | 建立一个可重复的实验室工具包，使用PowerShell收集安全和管理证据，而不是仅依赖手动门户审查。 | | 行动 | 在8个运营阶段中实施了Microsoft Graph、Exchange Online、Entra ID、Intune、Defender、条件访问和报告工作流程。 | | 结果 | 生成脚本、CSV/TXT报告、屏幕截图和仪表板视图，以展示Microsoft 365管理、安全审查和事件分类准备就绪。 | ## 工具包概述 企业IT安全运营工具包是一个多阶段、动手操作的Microsoft 365安全运营和治理实验室，旨在模拟现实世界的管理工作流程——从租户健康基线到身份威胁可见性、端点安全、BYOD治理、邮件流审计、仅Web访问配置、应用注册审计和事件响应分类。 在隔离的Microsoft 365 E3/E5实验室环境中构建，**执行脚本、CSV/TXT输出报告和运营屏幕截图**作为实施证据。 ## 这对招聘经理有什么证明 | 目标技能 | 本存储库中的证据 | |---|---| | Microsoft 365管理 | 租户健康、用户、组、许可证、角色、Exchange Online和报告生成 | | Entra ID / 身份治理 | MFA方法审查、风险用户、访客用户、管理员角色、PIM相关审查、OAuth授权 | | 条件访问 | 策略清单、仅报告验证、合规设备要求、仅Web访问控制 | | Intune / 端点管理 | 设备清单、合规姿态、Defender可见性、端点治理屏幕截图 | | PowerShell自动化 | 30+ 使用Microsoft Graph和Exchange Online模块的脚本 | | 安全运营 | 安全分数跟踪、高风险权限审查、登录证据、事件分类包 | | 文档纪律 | 阶段README、屏幕截图、示例报告、GitHub Pages网站和证据图 | 要快速审查证据，请从[`docs/evidence-map.md`](docs/evidence-map.md)开始。 ## 该平台做什么 | 功能 | 详细信息 | |---|---| | 租户治理 | 自动化健康、用户、组、许可证和角色报告 | | MFA合规性 | 每个用户的MFA方法审计，跟踪无密码就绪状态 | | 特权访问 | 管理员角色清单，CRITICAL / HIGH / MEDIUM风险等级分类 | | 身份威胁 | 风险用户审计、风险检测报告、安全分数跟踪 | | 许可证优化 | 废弃检测——持有许可证的禁用用户，自动标记 | | 端点安全 | Intune设备治理、Defender端点可见性、端点合规性监控和安全态势报告 | | CA策略治理 | 策略状态审计——启用与仅报告与禁用 | | BYOD治理 | 通过条件访问配置的零信任设备访问控制 | | 邮件流安全 | 外部转发规则、收件箱规则、传输规则、反垃圾邮件审计 | | 仅Web访问 | 为未管理的设备场景配置的应用强制限制 | | 应用注册审计 | OAuth授权、服务主体、高风险权限检测 | | 事件分类 | 快速收集证据——用户、许可证、组、管理员角色 | | 离职自动化 | 禁用+会话撤销+许可证删除+组清理 | ## 实验室结果 | 指标 | 值 | |---|---| | 审计用户总数 | 28 | | 启用帐户 | 27 | | 许可证帐户 | 21 | | 活动目录角色 | 11 | | Microsoft安全分数 | 238.26 / 413 (57.7%) | | 审计组 | 10 | | 审计应用注册 | 1 (AWS Single-Account Access) | | 清单服务主体 | 241 | | 检测到高风险OAuth授权 | 3 | | 审计邮箱 | 23 | | 生成的报告类型 | 8个阶段中25+个独特的报告文件 | | 工具包中的脚本 | 30+ PowerShell脚本 | ## 多阶段平台架构 ### 第1阶段 — 企业运营基础 **重点**：基线租户健康、身份卫生、许可证治理、MFA合规性、CA审计、特权访问审查和行政报告。 **亮点**： - 单个脚本中的完整租户健康快照（用户、组、许可证、角色） - MFA方法级审计——身份验证器、电话、FIDO2、无密码就绪分类 - 管理员角色审查，CRITICAL/HIGH/MEDIUM/STANDARD风险等级分类 - 许可证浪费识别——持有许可证的禁用用户自动标记 - 用户离职自动化——禁用、撤销会话、删除许可证和组 [→ 第1阶段README](phase-1-enterprise-operations-foundation/README.md) ### 第2阶段 — 身份威胁与安全运营 **重点**：Microsoft Entra ID身份保护工作流程——风险用户、风险检测、安全分数分析和访客用户治理。 **亮点**： - 风险用户审计——高/中/低风险分类，状态跟踪 - 风险检测报告——不可能的旅行、匿名IP、与恶意软件相关的登录 - 安全分数分析——实验室租户得分**238.26 / 413 (57.7%)** - 访客用户治理——检测不活跃访客，外部域映射 [→ 第2阶段README](phase-2-identity-threat-security-operations/README.md) ### 第3阶段 — 端点安全与Defender运营 **重点**：Microsoft Intune设备治理、Microsoft Defender for Endpoint可见性、端点合规性监控和安全态势报告。 **亮点**： - Defender端点概述——设备风险和保护状态 - Intune设备清单和合规性姿态报告 - 端点合规性仪表板和安全基线验证 - Defender安全建议和事件可见性工作流程 [→ 第3阶段README](phase-3-endpoint-security-defender-operations/README.md) ### 第4阶段 — BYOD条件访问治理 **重点**：零信任设备治理——配置和审计合规设备要求，以通过条件访问访问Microsoft 365资源。 **亮点**： - BYOD设备清单——按所有权、信任类型和合规性状态对Entra ID设备进行分类 - 条件访问策略审计——识别需要合规设备的策略 - 三层Intune合规性策略：iOS BYOD、Windows标准、Windows教师/员工 - 通过Intune设备操作演示的非合规设备退役工作流程 [→ 第4阶段README](phase-4-byod-conditional-access-governance/README.md) ### 第5阶段 — Exchange Online邮件流审计 **重点**：自动审计Exchange Online邮件流安全——外部转发规则、收件箱规则、传输规则、反垃圾邮件策略和诉讼保留状态。 **亮点**： - 审计23个邮箱以检测未经授权的外部转发——未检测到 - 扫描收件箱规则以查找转发/重定向操作 - 传输规则清单，包括状态和操作文档 - 验证跨传入、传出和连接过滤的反垃圾邮件策略覆盖范围 - 通过PowerShell和Exchange Online Management模块导出4个CSV报告 [→ 第5阶段README](phase-5-exchange-online-mail-flow-audit/README.md) ### 第6阶段 — 未管理设备的仅Web访问治理 **重点**：零信任仅Web访问配置——通过条件访问配置的应用强制限制，将非合规BYOD设备限制为仅浏览器访问SharePoint Online和Exchange Online。 **亮点**： - CA策略针对非合规设备，使用设备过滤器规则 - 应用强制限制会话控制——仅浏览器、无原生应用、无下载 - PowerShell审计脚本检测和分类仅Web治理策略 - 审计前后证据显示0 → 1仅Web策略检测 [→ 第6阶段README](phase-6-web-only-access-governance/README.md) ### 第7阶段 — Entra ID应用注册审计 **重点**：自动审计所有Entra ID应用注册、OAuth权限授权、服务主体、凭证过期和高风险权限分配。 **亮点**： - 审计1个应用注册——AWS Single-Account Access（SAML SSO集成） - 清单服务主体241个，涵盖Microsoft第一方和第三方应用 - 审查8个OAuth授权——完整的委托权限清单 - 检测到3个高风险权限授权——User.ReadWrite.All、Directory.ReadWrite.All、AuditLog.Read.All - 没有过期的凭证——没有废弃的应用注册 - 通过PowerShell和Microsoft Graph导出4个CSV报告 [→ 第7阶段README](phase-7-entra-app-registration-audit/README.md) ### 第8阶段 — M365事件响应安全分类 **重点**：快速收集Microsoft 365安全分类的证据——用户枚举、许可证治理、安全组审查和行政角色暴露评估。 **业务场景**：用户报告其帐户上的可疑活动。管理员使用Microsoft Graph PowerShell收集早期证据，然后升级。 **亮点**： - 枚举25个用户帐户，包括帐户状态和身份详细信息 - 审查3个许可证SKU——记录消费和功能状态 - 清单10个安全组——验证成员资格和安全启用 - 识别11个管理员角色——进行事件分类的暴露评估 - 生成执行摘要报告以供升级文档 - 通过PowerShell和Microsoft Graph导出5个结构化报告 [→ 第8阶段README](phase-8-m365-incident-response-security-triage/README.md) ## 平台架构 ``` Enterprise Environment (M365 E3/E5 Lab) ↓ Microsoft 365 / Entra ID / Intune / Defender / Exchange Online ↓ Microsoft Graph + Security APIs ↓ PowerShell Automation Layer (30+ scripts) ↓ Governance & Risk Classification Logic ↙ ↘ Identity + Endpoint License + Access Security Operations Governance Reporting ↓ ↓ CSV / TXT Reports HTML Dashboards & Visualization ↓ GitHub Security Operations Lab Evidence ``` ## 存储库结构 ``` Enterprise-IT-Security-Operations-Toolkit/ │ ├── phase-1-enterprise-operations-foundation/ ├── phase-2-identity-threat-security-operations/ ├── phase-3-endpoint-security-defender-operations/ ├── phase-4-byod-conditional-access-governance/ ├── phase-5-exchange-online-mail-flow-audit/ ├── phase-6-web-only-access-governance/ ├── phase-7-entra-app-registration-audit/ ├── phase-8-m365-incident-response-security-triage/ ├── scripts/ │ ├── m365-reports/ │ └── m365-admin-toolkit/ ├── sample-reports/ ├── screenshots/ ├── dashboard/ ├── index.html └── LICENSE ``` ## 先决条件 | 要求 | 详细信息 | |---|---| | PowerShell | 版本7+ | | Microsoft Graph SDK | `Install-Module Microsoft.Graph -Force` | | Exchange Online | `Install-Module ExchangeOnlineManagement -Force`（第5阶段） | | M365租户 | 具有适当角色分配的管理员帐户 | | Entra ID P2 | PIM和身份保护脚本所需 | ## 快速入门 ``` # 克隆仓库 git clone https://github.com/rahatislamanik-spec/Enterprise-IT-Security-Operations-Toolkit.git cd Enterprise-IT-Security-Operations-Toolkit # 第一阶段 — 客户健康报告 ./scripts/m365-reports/tenant-health.ps1 # 第五阶段 — 交换邮件流审计 ./phase-5-exchange-online-mail-flow-audit/scripts/exchange-mail-flow-audit.ps1 # 第七阶段 — 应用注册审计 ./phase-7-entra-app-registration-audit/scripts/entra-app-registration-audit.ps1 # 第八阶段 — 事件响应分级 ./phase-8-m365-incident-response-security-triage/scripts/invoke-m365-incident-response.ps1 ``` ## 核心技术 PowerShell 7 · Microsoft Graph PowerShell SDK · Microsoft 365 · Microsoft Entra ID · Microsoft Intune · Microsoft Defender for Endpoint · Exchange Online PowerShell · 条件访问 · 身份保护 · HTML / CSS / JavaScript · GitHub ## 实验室环境免责声明 此工具包是在隔离的Microsoft 365 E3和E5实验室租户中开发的，专门用于安全运营模拟、治理工作流程测试、自动化工程和作品集演示。 报告和屏幕截图作为公共实验室证据保存，以显示报告格式、审计逻辑和运营工作流程。它们不是生产客户记录或机密组织数据。 ## 🌐 作品集生态系统 | 层 | 项目 | 重点 | |---|---|---| | 01 — 网络基础 | [企业IT网络诊断工具包](https://github.com/rahatislamanik-spec/Enterprise-IT-Network-Diagnostics-Toolkit) | DNS · 连接性 · 网络诊断 | | 02 — 用户生命周期 | [Project Arabesque](https://github.com/rahatislamanik-spec/Project-Arabesque) | 入职 · 离职 · M365自动化 | | 03 — 身份与安全 | **您在这里** | Entra ID · Intune · Defender · 零信任 | | 04 — M365运营 | [Meridian Institute M365实验室](https://github.com/rahatislamanik-spec/Meridian-Institute-M365-Lab) | Exchange · Teams · SharePoint · Purview | 👉 [查看完整作品集](https://rahatislamanik-spec.github.io/IT-Portfolio-Rahat-Islam-Anik/) *由Md Rahat Islam Anik构建——Microsoft 365安全运营作品集* *[LinkedIn](https://linkedin.com/in/rahatislamanik) · [GitHub](https://github.com/rahatislamanik-spec) · [作品集](https://rahatislamanik-spec.github.io/IT-Portfolio-Rahat-Islam-Anik/)* ## 🔗 相关作品集项目 | 项目 | 描述 | |---|---| | [AD身份运营工具包](https://github.com/rahatislamanik-spec/AD-Identity-Operations-Toolkit) | 企业AD治理——陈旧帐户、特权访问、服务帐户安全、OSFI E-21 | | [Meridian Institute M365实验室](https://github.com/rahatislamanik-spec/Meridian-Institute-M365-Lab) | 端到端M365租户治理模拟——Defender XDR、Entra ID、安全分数 | | [企业IT网络诊断工具包](https://github.com/rahatislamanik-spec/Enterprise-IT-Network-Diagnostics-Toolkit) | 跨平台PowerShell网络诊断，带有HTML报告 |

标签：AI合规, BYOD, Defender, Defender XDR, Entra ID, Exchange Online, Intune, IPv6, Libemu, Microsoft 365, Microsoft Graph API, PB级数据处理, PowerShell, 企业IT安全, 合规报告, 安全治理, 安全运维, 实验室工具, 操作流程, 脚本, 身份治理